Alcance
Todos los colaboradores de VS&A, se compromete a preservar la confidencialidad, integridad y disponibilidad de todos los activos de información basado en las mejores prácticas de la Norma ISO 27001 y los controles definidos en la Declaración de Aplicabilidad SoA VSA aprobada el 25 de agosto del 2023.
Los requisitos de seguridad de la información y cualquier activo deben estar alineados con las metas y objetivos de VS&A. Comprometiéndose a implementar un marco operativo seguro estructurado conforme al estándar reconocido internacionalmente para implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) ISO / IEC 27001: 2022.
Cuando se requieran controles de gestión de seguridad por encima de la línea de base del SGSI, se debe considerar revisar los riesgos, mismos que deben ser informados a VS&A como medida de mejora continua del SGSI.
Lineamientos Estratégicos
Los siguientes lineamientos de la seguridad de la información es garantizar la continuidad del despacho VS&A y minimizar el riesgo causado por amenazas, atacantes y daños mediante la prevención de incidentes de seguridad y la reducción, mitigación o recuperación ante un impacto potencial en las operaciones y los servicios que se tienen acordados por contrato con los clientes.
- Salvaguardar y proteger la información de los clientes de VS&A así como la información comercialmente sensible bajo la custodia de la organización. Asegurando la preservación de la confidencialidad, integridad y disponibilidad de los datos.
- Establecer medidas de control efectivas para proteger, de acuerdo con lo estipulado en el Manual de protección de la información de registro (MAN-SGSI-005), los recursos de información de VS&A contra robo, abuso, alteración, publicación no autorizada, mal uso o cualquier forma de daño o delito.
- Establecer la responsabilidad y la notificación de cumplimiento de los lineamientos de seguridad de la información aplicables a VS&A mediante reuniones con Dirección General.
- Alentar a la Dirección General, administración y al personal de VS&A a mantener un nivel adecuado de conciencia, conocimiento y habilidad que les permita mantener capacidades para minimizar la ocurrencia y la gravedad de los incidentes de seguridad.
- Asegurarse de que VS&A pueda continuar sus operaciones de acuerdo con el plan de continuidad de negocio establecido por la organización.
Responsabilidades
La Dirección General de VS&A es la responsable de garantizar el cumplimiento de esta política, incluida la asignación de recursos y responsabilidades para la implementación y el cumplimiento de todas las políticas, estándares, lineamientos, procesos y procedimientos referentes a la seguridad de la información.
La Dirección General del Despacho delegan autoridad en el Comité de SGSI para supervisar el control y la eficacia de los Sistemas de Gestión de Seguridad de la Información (SGSI).
El responsable de Seguridad de la Información (CISO) que está a cargo de la misma en VS&A es responsable de mantener el SGSI y de proporcionar apoyo/asesoramiento durante su implementación.
La Dirección General ha determinado asumir las diferentes líneas de responsabilidad con el fin de coordinar los esfuerzos de seguridad de la información y alinear la actividad para garantizar la mejora continua y la eficacia general del SGSI a nivel estratégico y operativo.
La Dirección General, los colaboradores, proveedores, consultores de proyectos y cualquier otra parte externa tienen y serán conscientes de sus responsabilidades de actuar con base a los requisitos del SGSI de VS&A. Las consecuencias de las violaciones de la política de seguridad se describen en el Reglamento Interno de Trabajo (DOC-SGSI-001) de VS&A.
Todos los empleados, incluidos los proveedores, recibirán capacitación por parte del proveedor de servicios de seguridad de la información contratado por VS&A en concientización y capacitación sobre seguridad de la información. Los empleados con roles y responsabilidades que demanden altos conocimientos especializados recibirán los mismos según sea necesario.
Para los colaboradores de nuevo ingreso la capacitación se realizará de acuerdo con lo estipulado en la Política de contratación de personal (POL-SGSI-002).
Conformidad
El SGSI está sujeto a una revisión, mejora continua y de forma sistemática por parte de los responsables de Seguridad de la Información.
El comité de SGSI será el responsable de revisar de manera periódica las políticas de seguridad de la información.
Fundamento de la Política de Seguridad
Cada servicio en VS&A que utiliza internet como base para hacer negocio supone riesgos para la información, sistemas y para las conexiones con las que se mantiene comunicación. La política de seguridad es un conjunto de reglas que se aplican a las actividades y procesos de VS&A.
VS&A establece como política de seguridad de la información la preservación de la confidencialidad, integridad y disponibilidad de la información de todos sus colaboradores, clientes y proveedores en los servicios brindados para la organización.
Objetivos de la Política de Seguridad
A continuación, se describen los objetivos de la política de seguridad en VS&A, mismos que se centran en las siguientes categorías:
a) Protección de activos de información o tecnológicos.
El esquema de protección de recursos garantiza que solo los usuarios autorizados podrán acceder a los activos de información o tecnológicos de VS&A. La capacidad de asegurar todo tipo de recursos es una de las ventajas del SGSI. Primero se va a identificar con exactitud las distintas categorías de usuarios que pueden acceder al entorno tecnológico de la organización. Asimismo, definir los tipos de autorización de acceso que se van a gestionar y otorgar a los diferentes grupos de usuarios y clientes.
b) Autenticación
Es la seguridad o la verificación de que el recurso (persona o sistema) situado en el otro extremo de la sesión es realmente el que dice ser. Los niveles de autenticación empleados son convincentes, manteniendo las capacidades necesarias para proteger el entorno contra riesgos de seguridad como las imitaciones, en las que el remitente o el destinatario utiliza una identidad falsa para acceder al sistema. Se van a mantener diferentes filtros de seguridad como contraseñas y nombres de usuario para la autenticación, certificados digitales, factores adicionales de autenticación, etc. De acuerdo con lo estipulado en la Política de control de accesos (POL-SGSI-015). Cuando se establezca comunicación con una red pública como internet, la autenticación de usuario debe adquirir nuevas dimensiones. Una diferencia importante entre internet y una intranet es la capacidad de confiar en la identidad del usuario que inicia la sesión. Por lo tanto, se implementaron métodos más seguros de autenticación. Los usuarios autenticados tendrán distintos tipos de permisos, según su nivel de autorización.
c) Autorización
Al ser una empresa de servicios de contabilidad y auditoría se debe de tener la capacidad de saber cómo, cuándo y quién está realizando actividades dentro del ecosistema tecnológico. Es decir, se debe garantizar la seguridad de que la persona o el sistema situado en el otro extremo de la sesión tiene permiso para llevar a cabo la petición u operación que esta o quiere realizar. La autorización es el proceso de determinar quién o qué puede acceder a los recursos del sistema o ejecutar determinadas actividades en un sistema. Continuamente se gestionarán las autorizaciones en el contexto de la autenticación estableciendo mecanismos de registro, análisis y detección.
d) Integridad
Esta parte aborda la seguridad de que la información entrante es la misma que se ha enviado, por lo que los mecanismos y controles de seguridad deben garantizar la integridad de las operaciones y la de los clientes en VS&A.
Integridad de los datos: los datos están protegidos contra cambios o manipulaciones no autorizados. La integridad de los datos los defiende contra riesgos de seguridad como la manipulación, donde alguien intercepta y modifica la información sin estar autorizado para ello.
Además de proteger los datos que están almacenados en la red, se implementarán medidas de seguridad adicionales para garantizar la integridad de los datos cuando estos entren en el sistema procedentes de fuentes que no sean de confianza. Cuando los datos que ingresan en el mismo se relacionan con una red pública, se activaran métodos de seguridad para realizar estas tareas:
- Proteger los datos para que no se puedan manipular ni interpretar cifrándolos.
- Asegurar que en la transmisión de datos estos no han sido modificados o alterados (integridad de los datos).
- Demostrar que se ha producido la transmisión.
Para algunos clientes puede ser necesario que las transmisiones de información por medios específicos.
Integridad del sistema: los sistemas y plataformas de negocio deben proporcionar resultados coherentes con el rendimiento esperado. La integridad del sistema es el componente de seguridad más vigilado, porque es una parte fundamental en los servicios de VS&A.
e) No repudio
Prueba de que se ha producido una transacción o de que se ha enviado o recibido un mensaje. El uso de certificados digitales y de la criptografía de claves públicas para firmar transacciones, mensajes y documentos es la base del no repudio. El remitente y el destinatario están ambos de acuerdo en que el intercambio tiene lugar. La firma digital de los datos es una prueba suficiente.
f) Confidencialidad
En consecuencia, VS&A debe mantener controles de seguridad con la FIEL de los clientes, de acuerdo con lo estipulado en el Manual de resguardo de FIEL (MAN-SGSI-003), de que la información confidencial permanece privada y no es visible para los intrusos o atacantes. La confidencialidad es fundamental para la seguridad total de los datos de los clientes. El cifrado empleado en el software utilizado por la empresa será el especificado por el fabricante o con una conexión de redes privadas virtuales (VPN) permite asegurar la confidencialidad al transmitir datos entre varias redes que no sean de confianza. La política de seguridad debe indicar qué métodos se emplearán para proporcionar la confidencialidad de la información dentro de la red y de la información que sale de ella.
g) Actividades de auditoría
El mecanismo definido es el apoyo en la supervisión de los eventos relacionados con la seguridad para proporcionar un archivo de registros de los accesos satisfactorios y de los no satisfactorios (denegados). Los registros de accesos satisfactorios indican quién está haciendo cada tarea en los sistemas. Los registros de accesos no satisfactorios (denegados) indican la posibilidad de que alguien está intentando ingresar de forma no autorizada o que alguien tiene dificultades para acceder al sistema.